遭攻击

ChainCatcher 消息，据 Goplus 监测，NFT 流动性交易平台 gondixyz 因漏洞遭到入侵，导致多个 NFT 被盗，估计损失约为 23 万美元。gondixyz 官方表示，在团队确认安全之前，请勿偿还贷款。建议用户立即通过 Revoke cash 撤销受影响合同的批准，请勿在平台上发起任何新活动。

ChainCatcher 消息，针对 BlockSec 监测 Inverse Finance 疑似遭受攻击损失约 24 万美元资金，YAM Finance 在 X 平台发文回应表示，此次事件并非 Inverse 合约漏洞，而是与 LlamaLend 机制相关。根据其说明，攻击者在 LlamaLend 上针对 sDOLA 发起 “捐赠攻击”，将价格从约 1.188 sDOLA = 1 DOLA 推高至约 1.358 sDOLA = 1 DOLA，随后清算了几乎所有以 sDOLA 为抵押、借入 crvUSD 的用户头寸，目前尚未完全厘清为何抵押品价值上升反而触发清算，按常理应使用户远离清算线而非更接近。值得注意的是，此次价格异常的 “次级效应” 仍在持续，因此未在 LlamaLend 进行杠杆操作、仅持有 sDOLA 的用户账面收益约提升 14%。此外，DOLA 目前在二级市场交易价格较锚定值存在约 1% 的折价，部分社区成员建议借款用户可考虑在折价阶段偿还 DOLA 债务。

ChainCatcher 消息，据 GoPlus 监测，隐私游戏平台 FOOM CASH 在 Base 和以太坊上遭到攻击，损失 24,283,773,519,600 枚 FOOM（约 226 万美元）。本次遭遇攻击的漏洞原因为验证密钥配置错误，攻击者利用该漏洞伪造了 zkSNARK 证明，然后从被攻击合约中提取了巨量 FOOM 代币。

ChainCatcher 消息，RWA 代币化平台 OpenEden 在 X 平台发文称，官网及门户网站的 DNS 疑似遭到篡改，提醒用户暂勿与上述域名进行任何交互，以防钱包资产受损。 OpenEden 表示，目前所有储备资产仍然安全（SAFU），相关数据可通过 Chainlink 的储备证明页面进行验证。但团队再次强调，切勿访问或操作上述域名。OpenEden 团队正在调查此事，并将尽快发布进一步更新。

ChainCatcher 消息，据 BlockSec Phalcon 监测，BSC 链上一个未知的 USDC-OCA 流动性池遭攻击，导致约 42.2 万枚 USDC 被提取。 攻击者利用了 OCA 代币的通缩性 sellOCA() 逻辑漏洞，每次调用在 swap OCA 代币的同时，从流动性池中移除等量的 OCA，人为抬高了池内代币价格。 攻击通过三笔交易完成：第一笔执行攻击操作，后两笔主要用于支付额外的区块构建者贿赂。攻击者向 48club-puissant-builder 支付了总计约 43 枚 BNB 加 69 枚 BNB，最终获利估计约为 34 万美元。同一区块中的另一笔交易在 position 52 处失败，疑似被攻击者抢先交易。

ChainCatcher 消息，据 The Block 报道，跨链流动性协议 CrossCurve（原名 EYWA）确认其跨链桥协议“正遭受攻击”，原因是其智能合约中的一个漏洞被利用，导致约 300 万美元资金被跨多个网络窃取。区块链安全机构 Defimon Alerts 发现，此次攻击的攻击途径是 CrossCurve 的 ReceiverAxelar 合约中的网关验证绕过漏洞。 分析显示，任何人都可以使用伪造的跨链消息调用该合约的 expressExecute 函数，从而绕过预期的网关验证，并触发协议 PortalV2 合约上的未经授权的代币解锁。该协议由 Curve Finance 创始人 Michael Egorov 支持，此前已融资 700 万美元。

ChainCatcher 消息，BlockSec 发布闭源合约重大漏洞分析，其检测到一系列针对 SwapNet 和 Aperture Finance 部署在以太坊、Arbitrum、Base 和 BSC 上的受害合约的可疑交易，总损失超过 1700 万美元。 从根本上看，这两起事件的根源都很简单，受害合约由于输入验证不足而存在任意调用漏洞，攻击者可以利用该漏洞滥用现有的代币授权，从而 transferFrom 窃取资产。 尽管 SwapNet 和 Aperture Finance 事件影响了不同的协议和区块链，但两者的根本问题并不复杂：用户控制的底层调用，以及持有代币授权的合约中输入验证不足。

ChainCatcher 消息，据市场消息，数小时前发现一系列针对部署在以太坊、Arbitrum、Base 和 BSC 上的受害合约的可疑交易，这些交易由两名创建者部署的合约遭受攻击，总损失超过 1700 万美元。受害合约并非开源，且似乎存在任意调用功能漏洞。攻击者滥用现有的代币授权，执行 transferFrom 操作以盗取资产。受影响部署者：0xbeef63AE5a2102506e8a352a5bB32aA8B30B3112——损失约 367 万美元；0x9cb8d9BaE84830b7F5F11ee5048c04a80b8514BA——损失约 1,341 万美元。

ChainCatcher 消息，Layer-1 区块链协议 Saga 在遭遇攻击并损失约 700 万美元后，已紧急暂停其以太坊兼容的 Saga EVM chainlet。攻击导致未授权资金被跨链转出并兑换为 ETH，其美元稳定币 Saga Dollar 随后发生脱锚，价格一度跌至 0.75 美元。Saga 团队表示，链已在区块高度 6,593,800 暂停。初步调查显示，此次事件涉及一系列合约部署、跨链操作及流动性撤出，但未出现共识失败、验证者被攻破或私钥泄露，Saga 主网整体结构仍然安全。受影响的不仅是 Saga Dollar，其稳定币 Colt 与 Mustang 也受到波及。团队已锁定攻击资金流向地址，并正与交易所及跨链桥合作进行地址拉黑，链将保持暂停状态直至完整安全审计和事后分析（post-mortem）公布。链上数据显示，Saga 的 TVL 在 24 小时内从约 3700 万美元骤降至 1600 万美元，跌幅约 55%。部分安全研究员推测，攻击可能与利用跨链机制实现稳定币“无限铸造”有关，也有分析认为不排除私钥泄露的可能，但官方尚未确认具体攻击路径。

ChainCatcher 消息，据市场消息，MakinaFi 平台遭攻击，黑客盗取约 1,299 枚 ETH，价值约 413 万美元。部分交易被 MEV 构建者（地址 0xa6c2…）抢先处理。被盗资金目前分别存于两个地址：0xbed2…dE25（约 330 万美元）与 0x573d…910e（约 88 万美元）。

ChainCatcher 消息，区块链安全机构 BlockSec 发文称，部署于 Arbitrum 上的 FutureSwap 协议在四天前遭首次攻击后，再次被黑客利用重入漏洞攻击，损失约 7.4 万美元。 攻击者先在 3 天前通过重入函数 0x5308fcb1 超额铸造 LP 代币，待冷却期结束后赎回超额抵押资产实现获利。

ChainCatcher 消息，链上数据显示，区块链计算扩容协议 TrueBit 疑似遭攻击，损失 8535 枚 ETH，约合 2640 万美元。

ChainCatcher 消息，据 PMX 官方公告，其 Polycule 交易机器人昨夜被黑客利用漏洞攻击，导致用户资金被盗。目前漏洞源已定位，修复补丁与审计将于本周末上线。官方表示仅约 23 万美元用户资金受影响，待系统恢复后，将通过金库补偿 Polygon 链上受损用户，并使其余额回到被攻击前水平。

ChainCatcher 消息，慢雾在 X 平台发文表示，MistEye 检测到与 Fusion 相关的潜在可疑活动。根本原因为项目团队通过 EIP-7702 控制的 EOA 账户所委托的基础合约存在漏洞，该漏洞允许任意外部调用，导致攻击者能够为 PlasmaVault 创建并配置恶意熔断合约，从而从合约中提取资金。

ChainCatcher 消息，Flow 官方在 X 平台发文表示，攻击者利用 Flow 执行层漏洞在网络停机前转移约 390 万美元资产。此次攻击未访问用户现有余额，所有用户存款安全。 目前约 390 万美元资金主要通过 Celer、Debridge、Relay、Stargate 等桥接器流出，攻击者钱包已被识别并标记，其通过 Thorchain 和 Chainflip 进行的洗钱活动正被实时追踪。Flow 基金会已向 Circle、Tether 及主流交易所提交冻结请求。 目前网络已停止运行以切断所有出口路径，修复方案正在进行最终验证。目标重启时间为 4 至 6 小时内，具体取决于测试网验证结果。FindLabs 正发布包含交易哈希和攻击者以太坊钱包地址的取证数据。

ChainCatcher 消息，GoPlus 中文社区在社交媒体发文分析去中心化期权协议 Ribbon Finance 遭受攻击的原理。 攻击者通过地址 0x657CDE 升级价格代理合约为恶意实现合约，随后设置 stETH、Aave、PAXG、LINK 四个代币的到期时间为 2025 年 12 月 12 日 16:00:00（UTC+8）并篡改到期价格，利用错误价格实施攻击获利。 值得注意的是，项目方合约在创建时，攻击地址的 _transferOwnership 状态值就已被设置为 true，使其能够通过合约安全校验。分析显示，该攻击地址原先可能是项目方管理地址之一，后被黑客通过社会工程学攻击等手段控制并用于实施此次攻击。

ChainCatcher 消息，Aevo 官方表示，由于智能合约更新中的漏洞，Ribbon DOV 旧版金库遭到攻击，造成约 270 万美元损失。 Aevo 平台未受到任何影响，仍将保持正常运行。所有 Ribbon 金库已停止运行，并将立即停用，金库因攻击损失总资产的约 32%。请用户按照标准提款流程提取资金，提款需升级合约，升级将于下周推出（将另行通知）。 索赔窗口将开放六个月，之后 DAO 将清算所有剩余资产，并将其分配给之前提现的用户，补偿金额最高可达缺失的 19% 或剩余可用金额。

ChainCatcher 消息，0G Foundation 在 X 平台发文表示，一个有针对性的攻击破坏了其奖励合约。攻击者利用用于分发联盟奖励的 0G 奖励合约的紧急提款功能，窃取了 520,010 枚 $0G 代币，这些代币随后通过 Tornado Cash 进行桥接和分散。 攻击者获取了阿里云实例中泄露的私钥，该实例负责管理 NFT 状态和奖励更新，并将私钥存储在本地。由于 Next.js 的一个严重漏洞（CVE-2025-66478）于 12 月 5 日被利用，多个阿里云实例遭到入侵。攻击者通过内部 IP 地址横向移动，影响范围包括校准服务、验证器节点、Gravity NFT 服务、节点销售服务、计算、Aiverse、Perpdex、Ascend 等。已确认损失总额：520,010 枚 $0G、9.93 枚 ETH 及 4200 美元 USDT。除了奖励分配合同之外，核心链基础设施或用户资金均未受到影响。

ChainCatcher 消息，据 CertiK Alert 监测，USPD 合约遭到攻击事件损失约 100 万美元。攻击者通过操控存储数据实施攻击，整个攻击过程历时 2 个月。据分析，攻击分为两个阶段：攻击者抢先执行合法初始化交易，向 USPD 稳定器添加恶意中间代理；攻击者通过恶意代理为其合约授予特权角色，并在 78 天后利用该特权实施攻击。